改进和提高企业风险管理水平可以由各有关部门和业务单位自发进行,也可以由风险管理职能部门通过定期检查出具改进建议后进行。
企业各有关部门和业务单位应定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应及时报送企业风险管理职能部门。
企业风险管理职能部门应定期对各部门和业务单位风险管理工作实施情况和有效性进行检查和检验,对风险管理策略进行评估,对跨部门和业务单位的风险管理解决方案进行评价,提出方案调整或改进建议,出具评价和建议报告,及时报送企业总经理或其委托分管风险管理工作的高级管理人员。一般可以从两方面入手:
(1)审视风险管理解决方案的执行情况,了解其中的问题,提出调整和改进建议。
(2)根据风险管理策略的变化,对风险解决方案提出调整建议,以保证风险管理解决方案的适用性。
企业各业务部门作为企业风险管理的第一道防线,在直接面临并应对风险的同时,也是对风险管理工作进行监督的第一线。在监督改进过程中,业务部门可以选择首先识别高风险区域,识别出错的交易和行为,针对问题的根本原因进行调查,实施跟进并确保必要的纠正措施得到实施。
(1)及时获得风险管理方案执行的证据,取得外部对内部信息的反映和印证;
(2)定期核对会计记录与实物资产;
(3)对外部审计师提出的建议作出及时回应;
(4)建立相关渠道获得风险管理的反馈信息;
(5)监督员工对道德规范的遵守情况以及是否执行控制活动;
(6)定期对风险管理工作进行自查和检验,及时发现缺陷并改进,其检查、检验报告应当及时报送企业的风险管理职能部门。
同发达国家相比,外部环境对国有企业实施风险管理的保障和支撑还很有限。虽然近年来有所加强,但是对风险管理实施技术、风险管理绩效考核等方面注重不足,也缺乏良好的学术交流氛围,不少企业虽然建立了风险管理流程,但能对于企业战略的支撑作用非常有限,风险管理的实施缺乏实际效果。主要体现为:
①监管机构对于风险管理实施监督经验尚浅。发达国家普遍在20世纪80年代以来推广风险管理的相关标准,而中国的风险管理主要从2006年国务院国资委推出《全面风险管理指引》以后才正式起步。
②国有企业绩效考核中对风险因素的考虑不足。我国企业绩效评价体系,无论是上市公司还是国有企业都有一定的局限性。虽然经济增加值(EVA)的导入可以部分反映企业风险,但国有企业的上级主管部门没有就风险管理对领导层提出明确的要求,因此国有企业领导往往缺乏风险管理意识。
③保险与金融领域缺乏专业的风险管理工具。金融行业由于其风险较高,是风险管理实践的先行者,但由于国内金融市场发展程度不足,投资者规避证券投资风险的渠道与工具都比较少,企业可以选择的专业风险管理工具极其有限,很多时候,企业只能采取推出资本市场的方法来规避系统风险。
④缺乏成熟的风险管理行业与市场。虽然国际上知名的咨询公司早在21世纪初就开始提供风险管理咨询方面的业务,但能专门提供全面风险管理咨询的国内机构并不多,而且其产品也不够丰富,缺乏根据企业所处行业的不同提供后续跟踪支持与服务的能力。另一方面,除了金融机构之外,风险管理实践的分享活动、行业协会也非常少,企业缺乏获取高质量风险管理信息的渠道。
国有企业多数没有设立独立的风险管理部门,也尚未明确各级组织的风险管理职责,普遍存在风险意识淡薄、内控机制不完善、风险信息和沟通渠道不畅通等问题,具体可以归纳为以下几点:
①企业战略与风险管理体系不相适应。我国企业在目标的制定上有一个很大弊端就是急于求成,希望以最快的方式获得回报,致使企业在发展的过程中遭受过多自身不可承受的风险,同时缺乏与之相匹配的风险管理策略和措施,导致企业应对市场变化敏感度不够、发展后劲不足,有的企业甚至在重大风险事件发生时毫无应对措施,导致巨额损失,因此需要明确风险管理体系的阶段性目标,并与企业发展战略紧密契合。
②风险管理组织结构与职责尚未明确。国外企业的风险管理组织架构在不同国家、不同行业内有较大区别,会根据其自身的规模、业务特点、风险领域等选择适当的组织架构与相应职责。虽然国务院国资委的《全面风险管理指引》作了风险管理组织结构的相关规定,企业仍然需要根据自身情况来考虑,尤其需要明确风险管理的专职部门和风险管理领导小组的成员,汇报条线、权威等,避免形式主义。在实践中,有不少企业将内审部设为风险管理兼职部门,不失为一个短期内可取的方案,但需要在企业风险管理基本流程运作一段时间后,考虑设置独立部门。
③风险管理基本流程与运作机制尚未建立。有不少企业对风险开展了专项的管理工作,但缺乏整体性考虑,跨部门的合作很少,导致了对真正的重大问题认识却不足,从风险管理成熟度看,这类企业往往处于第二个阶段,因此,系统地建立风险管理流程与运作机制是企业走向风险智能管理的必然。
④风险管理人才严重缺乏。随着近年来风险管理理论与实践的发展,风险管理的技术性、管理要求等大大增加了。我国企业全面风险管理工作尚处在初级阶段,风险管理人才严重短缺,而风险管理又是一项难度大、专业性强的工作,因此需要培养大批满足企业需求的、具备强大的项目管理能力、熟悉风险管理理论以及专项风险计量技术与工具的风险管理人才。很多企业往往选择风险管理外包的方式来缓解本企业该类人才的不足。
⑤缺乏有效的内控体系保障。国有企业往往在制度建设上较为完整,但仔细一检查,制度不更新、相互矛盾、缺乏有效执行的情况非常多,缺乏一整套完整的内控体系。随着《企业内部控制基本规范》及其配套指引的出台,国有企业也开始大规模的内控梳理与体系建设工作,这是一个建立健全内控保障体系的好时机。只有内控体系保障了日常管理,让管理层有精力更多地思考重大风险的应对,才能真正体会到风险管理对于企业“增值”的意义。
⑥缺乏风险管理的激励约束机制。在衡量企业风险管理的工作成效时,要将企业全面风险管理的有效性检验与企业的绩效考核工作对接,使其与企业负责人激励约束机制相挂钩。由于缺乏全面风险管理绩效考核体系量化评价标准的数据基础,导致体系有效性检验不到位。国有企业高层人员大多是上级(集团公司或国资委)指派的,其官本位的思想以及过强的行政组织激励体系,不可避免地导致了管理人员行为的短期化,努力增加公司业绩只是高层管理人员的次优选择。
⑦信息与沟通机制不健全。国有企业对信息系统的重视程度还比较薄弱,特别是信息系统规划和基础安全管理等方面,从而导致系统应用的范围和深度有很大差距。分散的风险管理系统居多,相互之间也缺乏有效的数据接口或接口管理,影响了信息传递的质量与效率,因此,结合风险管理的基本要求,逐步引入整合型的风险管理信息系统,也是风险管理走向成熟的必修课。
国有企业风险管理的建设需要考虑当前外部环境与内部环境的限国有企业风险限制,其中一个基础性的工作就是需要将风险管理流程及其关键要素制度化,只有建立制度化的风险管理体系,才能将各种对于风险管理的思考与实践进行不断的总结,使思考与实践越来越全面,越来越深入,才能让管理团队的集体思考力量得到发挥。
风险管理制度需要纳入企业现有的制度体系中。通常,国有企业制度体系建设中需要考虑的五个关键因素为企业的内外部环境、战略目标及措施、管控模式及组织环境、业务及管理流程和岗位职责规范。
(1)内外部环境。任何一个企业都不是生存在真空的环境中,制度是企业的法,这个法可以说是“小法”,是微观层面的法,而企业所处的环境,包括国家地区、行业、资本市场等的运行规则,我们可以称之为“大法”。企业的“小法”必须建立在“大法”的框架之下,否则就失去了存在的根据。影响和制约国有企业风险管理制度建设的外部环境因素包括三个。一是国家的法律、法规,如《全面风险管理指引》、《企业内部控制基本规范》等;二是社会的道德习俗和文化;三是治理规则对企业的要求。企业的风险管理制度在规范个人行为时仅限于个人的企业组织方面,它必须受到国家法律、法规,社会传统、习俗的制约。也就是说企业的风险管理制度不能违反国家的法律、法规,并尊重社会的传统、习俗。同时,对于以不同的合约方式形成的企业,企业的风险管理制度也要受企业治理结构的限制。影响和制约国有企业风险管理制度建设的内部环境因素包括三个。一是企业的风险管理水平,二是企业风险管理文化的建设,三是企业业务发展的需要。企业的风险管理制度体系必须建立在企业当时的内部环境之上,不能一味地追求全面的风险管理制度体系而忽略自身的实际风险管理发展阶段与需求。企业每一个风险管理成熟度所对应的管理水平、企业文化建设和业务发展需求都不一样,所以企业所处的风险管理发展阶段的不同是影响和制约国有企业风险管理制度建设的主要内部环境因素。
(2)战略目标及措施。企业的风险管理制度体系需要通过规范企业中人的行为而实现企业组织风险管理目标,并服务于企业发展战略与为企业战略的实现提供保障。企业的一切目标都应该围绕实现战略而展开,企业的一切制度必须与战略相匹配。在实际工作中,风险管理制度应根据企业所倡导的宗旨、战略目标,围绕不断变化的生产、经营、管理的重大风险去编制、执行、维护制度,一切与战略目标产生冲突的风险管理制度都应及时废止或修改,保障这些制度与战略匹配的及时性,这是构建风险管理制度体系的基本理念。制度体系的建设工作还必须与战略阶段相匹配,分阶段制定和实施,并根据战略的调整进行动态调整,为了在不同的战略阶段实现各阶段的战略目标,战略措施要通过管理制度和业务制度来规范和固化下来,以此构成制度体系的主体内容。
(3)管控模式及组织环境。管控就是母公司对子公司管什么,管到什么程度,怎样管。通过确定母子公司的管控模式,划分母子公司的管理界面,明确母公司,即国有企业集团总部的定位和主要管理职能,将各项管理职能通过制度规范固定下来,这就形成了国有企业集团总部层面的制度体系。
风险管理制度体系建设需要考虑当前公司的管控模式,现在理论界的管控模式主要分为三种基本类型,即财务控制型、战略控制型和运营控制型。从财务控制型到运营控制型,随着集权程度的逐步提高,集团母公司承担的职能也越来越多,而子公司的职能则相应减少,这就意味着集团制度体系的内容在不断扩充,深度在不断延伸。如对于财务控制型集团,其风险管理组织体系所需要考虑的子公司的主要风险应该是投资回报与现金流相关的风险,而运营控制型集团所需要考虑的主要风险则要宽泛的多,因此其对应的风险管理部门的职能、汇报要求等均有区别。
(4)业务及管理流程。企业的风险管理制度体系,需要与企业现有的各项管理流程和业务流程充分兼容。实际上,随着风险管理概念的不断扩大,其所包容的信息已经远远超出了一个专项制度的概念,而公司的各项制度均应该以风险为导向来进行制定与实施,因此,在针对各项重大风险所制定的风险管理制度时,要针对企业的不同产品品种和生产特征绘制风险管理的流程。
(5)岗位职责规范。企业岗位规范及职责分析、制度形成于此。企业的战略规划、生产经营、管理职责等的落实都是由不同的企业职能岗位来实现的,但是,在企业中,我们经常能看到四种现象,即岗位职责缺位、错位、交叉和重叠,这些现象在国有企业表现得尤为突出,因此,风险管理制度体系中的合理定岗、明确岗位规范与职责能确保减少岗位职责不清、工作重复、扯皮推诿等无效率和混乱状况,确保各岗位能够各司其职、各负其责。同时,明确设计和制定科学、合理的岗位职数、岗位规范和职责本身就是企业制度的重要组成部分。
企业风险管理制度应当与企业现有的制度框架相符合。目前企业的制度体系已经建立多年,且企业人员的文字功底深厚,具备建立良好的企业制度的基础,但在实践中,我们发现也有不少企业缺乏良好的制度框架,也不理解制度的层级和相互之间的关系。
(1)公司层级的基本管理制度。是指公司层面为规范公司运作或员工行为而制定的原则性要求,其目的是为规范在确定的原则和方向下进行实际操作。公司制度的效力通常为包括各职能部门及分公司的总公司。
(2)业务流程相关的管理制度和实施细则。是指在为达到公司目标、贯彻公司制度而在实际工作中开展的一系列业务活动,以及彼此间的关系。业务流程包括跨部门和部门内部流程,要具备可操作性。
(3)工作规范类的操作指南、作业标准等。是指具体的实务操作中可依据或参考的技术性文档,主要适用于标准化作业的部门或制造车间。
(4)管理表单。是在实际业务活动中用以记录业务轨迹或结果的载体,包括在信息系统中实现的电子表单。表单一般不单独出现,而与层级二或层级三的制度同时出现。
1992年9月,美国的COSO委员会(全美反舞弊性财务报告委员会发起组织)发布《内部控制—整体框架》明确规定:“内部控制是受企业董事会、管理层和其他人员影响,为经营的效率效果、财务报告的可靠性、相关法规的遵循性等目标的实现而提供合理保证的过程。”同时,该《框架》提出了内部控制五要素理论,即:“企业建立与实施有效的内部控制,应当包括内部环境、风险评估、控制活动、信息与沟通、内部监督。”可以说,这是全球内部控制理论体系发展的最基础文件。
2008年6月,我国财政部、证监会、审计署、原银监会、原保监会联合发布《企业内部控制基本规范》(财会〔2008〕7号)并后续印发了《关于印发企业内部控制配套指引的通知》(财会〔2010〕11号)明确规定:“内部控制是由企业董事会、监事会、经理层和全体员工实施的、旨在实现控制目标的过程。内部控制的目标是合理保证企业经营管理合法合规、资产安全、财务报告及相关信息真实完整,提高经营效率和效果,促进企业实现发展战略。”同时,该《基本规范》要求按照内部控制五要素构建内部控制管理体系。由此开启了我国内部控制体系建设与发展的步伐。
在内容及对象上,内控兼具全面性和重要性。全面性体现在内控要求对全员、全流程、全业务与管理环节的全面内部控制,人员涵盖董事会、监事会、经理层及全体员工,甚至还包括派遣和辅助人员等,流程贯穿决策、执行、监督、评价等全部流程环节,覆盖所有业务、事项和环节。重要性体现在在全面内部控制的基础上,内控注重重要业务、重点人员、重点领域、重要风险、敏感地带、薄弱环节和经营管理漏洞等方面。
在形式上,内控具有内部制衡性和过程控制性。内部制衡性体现在内控通过构建内部环境,对内部治理结构、机构设置及权责分配、业务流程等方面活动实现控制,设置有效的内部控制管理防线,实现相互控制、监督和制约。过程控制性体现在内控重视对过程的控制,发现过程中风险、漏洞、不足和薄弱环节,构建决策、执行、监督、评价等管理措施,实现控制目标。
在效果上,内控具有适应性和经济性。适应性体现在内控与企业所在行业、经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况不断变化动态调整,趋向于变化性和灵活性。经济性体现在内控目的一方面在于保证经营管理合法合规、资产及财务安全,防控内部操作风险等;另一方面在于提高经营效率和效果,实现企业发展战略,以适当成本时效有效控制。
内控通过构建内部环境、完善执行、加强监督、科学评价等方式,实现对全员、全流程和全业务等方面控制活动,但是内控重视过程控制,具有内部性,需要平衡内部控制与管理效益的关系,易于内卷化,对于结果管理和外部风险的关注和重视不够,所以对于外部性风险管控无能为力。
内部环境:是影响、制约企业内部控制建立与执行各种内部因素的总称,是实施内部控制的基础。内部环境主要包括治理结构、组织机构设置与权责分配、企业文化、人力资源政策、内部审计机构设置、反舞弊机制等。
风险评估:是及时识别、科学分析和评价影响企业内部控制目标实现的各种不正确因素并采取应对策略的过程,是实施内部控制的重要环节。风险评估主要包括目标设定,风险识别、风险分析和风险应对。
控制活动:是根据风险评估结果、结合风险应对策略采取的确保企业内部控制目标得以实现的方法和手段,是实施内部控制的具体方式。控制活动结合企业具体业务和事项的特点与要求制定,主要包括职责分工控制、授权控制、审核批准控制、预算控制、财产保护控制、会计系统控制、内部报告控制、经济活动分析控制、绩效考评控制、信息技术控制等。
信息与沟通:是及时、准确、完整地收集与企业经营管理相关的各种信息,并使这些信息以适当的方式在企业有关层级之间进行及时传递、有效沟通和正确应用的过程,是实施内部控制的重要条件。信息与沟通主要包括信息的收集机制及在企业内部和与企业外部有关的沟通机制等。
监督检查:是企业对其内部控制的健全性、合理性有效进行监督检查与评估,形成书面报告并做出相应处理的过程,是实施内部控制的重要保证。监督检查主要包括对建立并执行内部控制的整体情况进行连续性监督检查,对内部控制的某一方面或者某些方面进行专项监督检查,以及提交相应的检查报告、提出有针对性的改进措施等。企业内部控制自我评估是内部控制监督检查的一项重要内容。
国家要求上市企业建立的内控体系是保证财务报告真实性而要求建立的体系,所以具体内容与外资企业的SOX404体系差不多。具体来讲主要包含如下几个文件:内控手册,风险数据库,内控评价手册。
内控手册为对每一个作业流程的描述,内容含流程描述、流程图、授权说明、运营分析等。
风险数据库是作业可能导致风险的现象描述的汇总。所涉及的风险一般指导致公司资产不安全,作业内容不合规合法,运营效率低下,财务报表数据不真实等。
内控评价手册具体含三部分,第一部分检查制度设计合理或文档的齐全性,第二部分检查控制过程,第三部分检查会计账务处理控制。
全面性原则:要求内部控制应当贯穿决策、执行和监督全过程,覆盖企业及其所属单位各种业务和事项;
重要性原则:要求内部控制应当重点关注重要业务事项和高风险领域,切实防范重大风险;
制衡性原则:要求内部控制应当在治理结构、机构设置及权责分配、业务流程等方面形成相互制约、相互监督,同时兼顾运营效率;
适应性原则:要求内部控制应当与企业经营规模、业务范围、竞争状况和风险水平等相适应,并随着情况的变化加以调整;
成本效益原则:要求内部控制应当权衡实施成本与预期效益,以适当的成本实现有效控制。
目的不同:内控体系是以会计报告为主要目的,ISO质量体系是以产品质量为主。
控制活动不同:在现阶段五部委提供的18项指引来看,内控体系缺少生产过程控制;而ISO质量体系则以产品质量为主,涵盖产供销价值链,但是缺少会计系统控制。
设计部门不同:在ISO体系内不存在财务部门,以研发、生产、采购、销售部门为主;内控体系几乎涵盖公司各个部门。
要求不同:内控体系是国家强制要求,而ISO只是产品运营体系的一个认证,非强制要求。
组织架构:首先建立内控小组,为了使内控体系得到有效落实和贯彻,内控小组组长最好由总经理或董事长担任。主要作业由内审人员负责。
业务运作:内控小组对各部门提交的制度进行对标和梳理。并根据内控指引对现有作业流程的描述进行评价,同时开展小组会议对各职能部门未设置的流程及有缺钱的流程进行优化。内控小组根据调整后流程进行内控手册的编制和流程图绘制,最后形成内控手册,由总经理授权下发。
内控小组等类似部门不定期进行内控评价,并根据各职能部门的变化对内控手册进行优化等。
内控检查的主要目的时间里明确完整的作业流程、流程中的岗位职责、授权审批、保留书面控制痕迹。主要的作业模式就是控制点有没有建立。
内审的主要目的是保证业务事项的真实合理和提高运营的效率效益。所以内审的作业模式可以通过分析复核、重复计算、访谈等多种手段,合适业务事项是否真实合理。
在建立内控体系之前,首先有个制度对标的过程,而这个过程是建立在调研开始前对公司现有制度建设情况的了解以及各模块划分的基础上,同时对制度设计期间的不足、缺陷做备查。
类似于我们平时通过五部委的18个指引,其实在18个指引的解读里,已经有对各个环节的要求,制度的对标对应的结论有:整个作业流程未形成书面的制度、作业流程缺少某个控制环节、控制环节缺少重要的控制点。对于单个控制点的评价:责任人是否明确、表单是否表达清楚、控制痕迹有没有、审批是否重复和异常等。
大致有这几点:制度设计、流程(包含正常与异常流程)、不相容职责分离、表单审核、关键控制点是否确实等检查。与内审的主要区别在于内控是流程的完整和有效,内审主要检查内容是评价所发生事项的合理真实性。
内控体系评价分三个模块:分别为制度有效性评价和运营评价,运营评价分已有作业痕迹评价和系统作业评价。作业痕迹评价主要评价在内控评价期间已经形成的作业表单和流程。系统作业评价主要评价为现有系统评价,实际上类似于信息系统的白箱子测试,即通过新的数据的输入、处理和输出,了解现有系统运营作业情况。
一般通过审查现有的流程作业制度和文字,通过职责不相容分离、授权审批以及制度的完整性来评价。实施企业内控制度评价应遵循全面性、重要性、独立性原则,确保评价工作标准统一、客观公正。根据所收集的证据进行合理判断。
对检查期间已经形成的表单或者作业流程进行评价,如果企业内部自行检查提取表单即可,一般可以通过对现有的内控制度或者内控手册的核对来确认是否存在异常。
有效性的评价分四种情况:存在控制强点、存在控制弱点、存在控制缺失、不适用。其中需要说明的事存在控制弱点,即部分作业表单有审核或者有记录,部分表单无审核无记录等。
检查的对象包含控制环境和控制活动,控制环境所需资料:可通过获取如组织架构来评价组织架构,通过获取如CIS来评价企业文化,公司战略的评价可以通过公司高层会议或董事会、股东会的类似决策资料来评价等等;控制活动的评价所需资料:可以通过流程中所需要的各表单来确认。
内控系统运行有效性评价可以理解为穿行测试,除了一般性的政策流程的检查还应包含现有系统有效性评价中可能为体现出来的特殊情况。例如检查1-12月表单和流程,但均未体现有政策流程,通过这种补充检查即可获知特殊作业流程是否可以正常运转。
版权说明:本网站图片源于站酷海洛版权图片,已获得使用授权。网站内容未经许可,不得复制、转载及其他商业应用。